En su blog ‘GDPR is not Y2K’, Elizabeth Denham, Information Commissioner del Reino Unido, ha denominado al GDPR como un proceso evolutivo y un “esfuerzo continuo” que no termina el 25 de mayo de 2018. Mientras las empresas con oficinas en la Unión Europea (o empresas que recaben información de personas que estén ahí) se preparan para el GDPR, es el momento perfecto para que revisen sus sistemas y políticas para asegurar el cumplimiento con las mejores prácticas en el manejo de datos.
Estos son 12 pasos para ayudarle en ese proceso:
Paso 1: Haga conciencia sobre el GDPR y las implicaciones que éste tiene para su organizacón
Es importante asegurarse de que los tomadores de decisiones, y los miembros clave de su organización, estén conscientes de que la ley está cambiando y que es importante anticipar el impacto y los riesgos potenciales del GDPR.
Considerando las sanciones de incumplimiento, sería buena idea que las organizaciones capaciten a sus empleados sobre cómo planean proceder en el proceso para recabar, clasificar o procesar los datos.
Paso 2: Lleve a cabo una auditoría de información
Puesto que el GDPR es una invitación a un tratamiento más disciplinado de los datos personales, usted deberá documentar todos los datos personales que tenga hoy. Esto incluye información sobre la forma en que se haya recabado la información, su origen, los fines para los cuales se recolectó, dónde está almacenada, etc.
Una vez que haya hecho esta evaluación, decida qué necesita conservar de la información que tiene hoy. La práctica de una auditoría de protección de datos le ayudará a entender cuáles son sus procesos actuales, y a definir qué falta.
Paso 3: Revise y actualice su política de privacidad actual
Las reglas del DGPR sobre la información de privacidad hacen énfasis en que los avisos de privacidad deben ser comprensibles y accesibles. La ley determina que la información que usted suministre a la gente sobre cómo procesa usted sus datos personales debe ser concisa, transparente, inteligible y fácilmente accesible; redactada en forma clara y simple, sobre todo cuando va dirigida a los niños; y debe ser gratuita.
Por ello, su empresa deberá revisar sus políticas actuales de privacidad y comunicación con el fin de asegurar que estén alineadas con lo que el GDPR estipula.
De conformidad con el GDPR, las personas deben dar consentimiento explícito a la obtención y procesamiento de sus datos. Los recuadros preseleccionados y el consentimiento implícito ya no serán aceptables. Usted deberá revisar todos sus avisos de privacidad y su información, y deberá ajustarlos según sea necesario.
Paso 4: Describa los derechos de las personas
En términos generales, los derechos de las personas conforme al GDPR son los mismos que los que incluye la Directiva Europea de Protección de Datos Personales, pero con algunas mejoras importantes. Sin embargo, el derecho a la potabilidad es una novedad del GDPR.
Como parte de la preparación para el GDPR, usted deberá revisar estos derechos y asegurarse de entender bien el impacto que tendrá cada uno de ellos en su negocio. El siguiente paso deberá ser revisar la comunicación de su empresa y el material de información para asegurar que claramente ofrece detalles de toda la información necesaria y para asegurar la instalación de sistemas efectivos para permitir que la organización los respete.
De igual manera, será necesario que usted se asegure de haber puesto en práctica las políticas y procedimientos necesarios para el manejo de una gran variedad de solicitudes que la gente puede hacer con base en la ley.
Paso 5: Planee las Solicitudes de Acceso Personal (SAR)
Las Solicitudes de Acceso Personal (SAR, del inglés Subject Data Access Request), se incluyen en el GDPR como un derecho de acceso, y permiten a las personas ver la información que una empresa tiene de ellas. Por ello, contar con un sistema para el manejo efectivo de las SAR será fundamental dentro de la preparación para el GDPR.
Una SAR, en la práctica, deberá incluir, entre otras cosas, las políticas y procedimientos internos para la identificación del personal que deberá recibir capacitación sobre el GDPR. Deberá también definir cómo establecerá la organización un método de asignación de la SAR al personal capacitado, junto con las fechas límite y las alertas, además de preservar la visibilidad y la facilidad de elaboración de reportes gerenciales.
Paso 7: Lleve a cabo una auditoría de procesamiento de datos
Es posible que las empresas requieran comprobar que cuentan con el sustento legal para recolectar o procesar datos. En la actualidad, la mayoría de las organizaciones usan el consentimiento por default, pero el GDPR endurece las reglas para la obtención, y conservación, del consentimiento. El reglamento describe cinco sustentos legales para el procesamiento de datos. Las organizaciones deberán aprender cuándo buscar ese sustento y ajustar las políticas de recolección de datos de manera apropiada.
Uno de los principales pasos será documentar una auditoría para procesamiento de datos que describa los distintos tipos de procesamientos de datos que la empresa lleva a cabo y el sustento legal correspondiente.
Paso 7: Revise cómo busca, registra y gestiona el consentimiento
El GDPR incluye una lista específica de los requisitos para las solicitudes de consentimiento legal, pero también debe contar con una acción afirmativa clara. Las solicitudes de consentimiento no deben basarse en el silencio, la inactividad o los ajustes por default, para aprovecharse de la falta de atención o la inercia, o algunos otros sesgos del default.
Revise si sus consentimientos deben actualizarse. Es necesario contar con un camino a seguir para las auditorías con el propósito de conocer cómo y cuándo se ha dado el consentimiento y mostrar que usted está en cumplimiento, en caso de que se le cuestione.
Puesto que las personas son libres de retirar su consentimiento en cualquier momento, usted deberá tener también un sistema para retirarlo de sus registros.
Paso 8: Salvaguarda para datos de menores
Las reglas del GDPR sobre menores le deben interesar también. Haga lo necesario para asegurar que cuenta con los mecanismos adecuados para la autorización parental dentro de sus procesos, incluyendo procesos de verificación. Si sus avisos se dirigen a los niños, deberán ser amigables para ellos.
Recuerde que los niños tendrán los mismos derechos que los adultos sobre sus datos personales. Dichos derechos incluyen acceso a sus datos personales, solicitud de rectificación, objeción al procesamiento y derecho al borrado de sus datos.
Paso 9: Revise su estrategia de protección de sus datos y el manejo de violaciones de datos
Asegúrese de contar con procedimientos robustos para la detección de violaciones, investigación y reportes internos. De igual forma, es importante tener un plan de respuesta que aborde cualquier violación de datos personales.
Paso 10: Tome un enfoque de privacidad por diseño
El GDPR requiere que las organizaciones adopten los principios de “privacidad por diseño y por default”, así como las medidas adecuadas de seguridad dentro de sus sistemas desde el principio, en vez de tratar de aplicarlas en forma retroactiva.
La privacidad por diseño es fundamental para las organizaciones no sólo como un requisito de cumplimiento sino porque les empuja a ver los procesos de ciberseguridad en una forma más enfocada y seria.
Paso 11: Designe un funcionario a cargo de la protección de datos
El GDPR exige el nombramiento de un DPO (del inglés, Data Protection Officer) obligatorio para las empresas independientemente de su tamaño o si se trata, o no, de un contralor o procesador en circunstancias específicas. Para más información sobre las circunstancias específicas y las responsabilidades de un DPO, revise nuestro blog sobre “Responsabilidades del Contralor, Procesador y Funcionario de Protección de Datos con Base en el GDPR.”
Paso 12: Determine la autoridad internacional
Si usted opera en más de un país miembro de la UE (por ejemplo, si tiene usted actividades de procesamiento entre fronteras), deberá decidir quién será su autoridad principal de supervisión de protección de datos. La autoridad principal es la autoridad a cargo de la supervisión en el estado en donde tiene usted sus principales operaciones. Decidir quién es la LSA (Autoridad Principal de Supervisión) requiere de consideraciones estratégicas, prácticas y legales.
Exención de responsabilidad Tome en consideración que en este blog hemos dado información básica sobre el GDPR. WSI no es una autoridad legal para aspectos del GDPR y sólo puede ofrecer asesoría sobre las mejores prácticas que van con una iniciativa de marketing digital. No obstante, para asesoría respecto de la interpretación legal de esta ley para su negocio, póngase en contacto con un funcionario de protección de datos o legal.
Si usted quiere revisar una breve lista de verificación de lo que hemos mencionado antes, descargue “Breve lista de verificación con 12 puntos para preparar a su organización para el GDPR” haga clic aquí.